T-Systems hatte mal die glorreiche Idee, Laptops gegen Standorte zu dongeln um zu verhindern das "Fremde" ins Netz kommen. Das Ergebnis war, das alle Mitarbeiter aus anderen Standorten sich die wenigen freigeschaltenen Netzdosen teilen mussten, ein Wirrwarr aus Switchen, WLAN Router... entstand. Natürlich offiziell streng verboten. Nur traut sich kaum ein kleiner Admin oder Abteilungsleiter auf solche Sachen einzuwirken wenn ihm der teure Berater auf der Gegenseite erklärt das er ja gern mal den Auftraggeber (AKA mindestens Standortleitung oder Höher) informieren könne, das er am arbeiten gehindert werde. Wird in jeder Sicherheitsschulung gezeigt, wie man zu reagieren hat. Aber jeder Admin der dafür zweimal beim großen Chef angetanzt ist um einen Rüffel zu kassieren, lässt es beim dritten mal zu.
Insofern bin ich mir nicht sicher ob es sinnvoll ist, das die Geschäftsführung Berechtigungen verteilen sollte. Zumindest kenne ich keine (inkl. meinem Vater als Chef hier) der das alles überblicken kann und Zeit dafür hat.
Tja, Änderungen (Einschränkungen) der IT-Möglichkeiten der Mitarbeiter funktioniert nicht per Order-de-Mufti. Das ist ein Projekt mit einer Umsetzung, Feedbacks und laufender Anpassungen während der Umsetzung, bis es so eingeschränkt ist, dass das Unternehmen sicher ist und die MA trotzdem noch arbeiten können.
Aus meiner Studienzeit und Arbeit bei dem großen Autohersteller: An solche Daten kommt man vorbei an allen perfekten Sicherungssystemen sehr einfach durch eine Bratwurstidee. Wenn dem Werksleiter eingefallen wurde dass er eine wesentlich bessere Linienauslastung hinbekommt wenn er Daten A (Verantwortung Q), Daten B (Verantwortung IE), Daten C (Verantwortung P), Daten D (Verantwortung Vertrieb) und E (Personal) zu einem Dashboard verknüpft dann kommt der Montag frohgelaunt zur Praktikantin und gibt der den Auftrag sowas zu bauen. Die läuft nun los und bekommt die Daten von IE und P problemlos weil sie dort regelmässig ist und die Leute kennt. D lässt sich überreden weil so nett gefragt wurde und man ja immer dem Nachwuchs helfen will. E liegt gerade mit der Werkleitung in Diskussionen über mehr Budget und hilft da im Gegenzug für eine positive Erwähnung natürlich gern weiter. Nur A ist penetrant und nervig. Zum Glück ist aber der Altgediente Qualitätschef im Urlaub und die Vertretung will noch Karriere machen und wenn im zweiten Anlauf die nervige blöde Studentin ein Schreiben vom Werkleiter dabei hat will man ja nicht negativ auffallen...
Alle Daten wurden also innerhalb der Prozesse freigegeben, .....
Auch hier - tja, da braucht es ein vernünftiges RedFlag Management außerhalb der Organisation angebunden an den Vorstand, in der jeder MA Vorgänge melden kann, die dann untersucht werden. Die MA müssen geschult sein, Vorfälle zu erkennen und im Zweifel zu melden, ohne Rechenschaft abliefern zu müssen. Dann kann so ein RedFlag-Management auch den Werksleiter befragen. Das bietet natürlich keine hundertprozentige Sicherheit. aber verbessert sie.
Ich kenne das durchaus auch. Eine sehr fordernde erfolgreiche Person A der globalen Organisation (z.B. aus den vereinigten Emiraten), die unbedingt lokale Kundendaten brauchte und den Sinn der DSGVO gar nicht einsah. Eine andere junge Person B die sich ihrer Zielerreichung gefährdet sah, wenn sie die Daten nicht herunterlädt und weitergibt. Und ich, den B dann um Rat fragte und B sich trotzdem nicht traute das zu melden. Wurde doch gemeldet und 1,5 Wochen später war der Spuk vorbei.
Ansonsten, ja vor 5 Jahren hat man bei uns auch noch ganz anders gearbeitet. So ein Mentalitätsumbau im Unternehmen dauert lange vor allen, wenn es dann auch noch eine globale Umsetzungen weltweit in allen Herren Länder ist. Bei uns ist DE nur ein kleiner Teil. Außerdem sehe ich diese Dinge auch nur als außenstehender Mitarbeiter und bin da keineswegs inhaltlich im Detail involviert. Anfangs dachte ich, lasst mich zufrieden mit dem Cybersec-Krams, ich will hier doch nur arbeiten. Finde ich mittlerweile allerdings gut, wie das umgesetzt wird.
Aber wir driften hier ziemlich ins OT ab 
